Kaspersky Endpoint Security for Windows (di seguito denominato anche Kaspersky Endpoint Security) offre la protezione completa del computer da diversi tipi di minacce, attacchi di phishing e di rete.
Tecnologie di rilevamento delle minacce
Machine Learning Kaspersky Endpoint Security usa un modello basato sul machine learning. Il modello è sviluppato dagli esperti di Kaspersky. Il modello viene continuamente alimentato con i dati sulle minacce di KSN (addestramento del modello). Analisi cloud Kaspersky Endpoint Security riceve i dati relativi alle minacce da Kaspersky Security Network. Kaspersky Security Network (KSN) è un'infrastruttura di servizi cloud che consente di accedere alla Knowledge Base di Kaspersky, in cui sono disponibili informazioni sulla reputazione di file, risorse Web e software. Analisi degli esperti Kaspersky Endpoint Security usa i dati relativi alle minacce aggiunti dagli analisti anti-virus di Kaspersky. Gli analisti dei virus valutano gli oggetti se non è possibile determinare automaticamente la reputazione di un oggetto. |
Analisi del comportamento Kaspersky Endpoint Security analizza l'attività di un oggetto in tempo reale. Analisi automatica Kaspersky Endpoint Security riceve i dati dal sistema automatico di analisi degli oggetti. Il sistema elabora tutti gli oggetti inviati a Kaspersky. Il sistema determina quindi la reputazione dell'oggetto e aggiunge i dati ai database anti-virus. Se il sistema non è in grado di determinare la reputazione dell'oggetto, il sistema interroga gli analisti dei virus di Kaspersky. Kaspersky Sandbox Kaspersky Endpoint Security elabora l'oggetto in una macchina virtuale. Kaspersky Sandbox analizza il comportamento dell'oggetto e prende una decisione in merito alla reputazione. Questa tecnologia è disponibile solo se si utilizza la soluzione Kaspersky Sandbox. |
Struttura di selezione
Ogni tipo di minaccia viene gestito da uno specifico componente. I componenti possono essere abilitati o disabilitati indipendentemente e le relative impostazioni possono essere configurate.
Struttura di selezione
Sezione |
Componente |
---|---|
Protezione minacce essenziale |
Protezione minacce file Il componente Protezione minacce file consente di impedire l'infezione del file system del computer. Per impostazione predefinita, il componente Protezione minacce file risiede nella RAM del computer. Il componente esegue la scansione dei file in tutte le unità del computer, nonché nelle unità connesse. Il componente garantisce la protezione del computer mediante database anti-virus, il servizio cloud Kaspersky Security Network e l'analisi euristica. Protezione minacce Web Il componente Protezione minacce Web impedisce il download di file dannosi da Internet e blocca inoltre i siti Web dannosi e di phishing. Il componente garantisce la protezione del computer mediante database anti-virus, il servizio cloud Kaspersky Security Network e l'analisi euristica. Protezione minacce di posta Il componente Protezione minacce di posta esamina gli allegati dei messaggi e-mail in entrata e in uscita alla ricerca di virus e altre minacce. Il componente esegue inoltre la scansione dei messaggi alla ricerca di collegamenti dannosi e di phishing. Per impostazione predefinita, il componente Protezione minacce di posta risiede nella RAM del computer ed esegue la scansione di tutti i messaggi ricevuti o inviati utilizzando i protocolli POP3, SMTP, IMAP o NNTP oppure il client di posta Microsoft Office Outlook (MAPI). Il componente garantisce la protezione del computer mediante database anti-virus, il servizio cloud Kaspersky Security Network e l'analisi euristica. Protezione minacce di rete Il componente Protezione minacce di Rete esamina il traffico di rete in entrata alla ricerca di attività tipiche degli attacchi di rete. Quando Kaspersky Endpoint Security rileva un tentativo di attacco di rete nel computer dell'utente, blocca la connessione di rete con il computer che ha originato l'attacco. Nei database di Kaspersky Endpoint Security è inclusa una descrizione degli attacchi di rete attualmente conosciuti, nonché dei metodi utilizzati per contrastarli. L'elenco degli attacchi di rete che il componente Protezione minacce di Rete è in grado di rilevare viene aggiornato durante gli aggiornamenti dei database e dei moduli dell'applicazione. Firewall Firewall blocca le connessioni non autorizzate al computer in Internet o sulla rete locale. Firewall controlla anche l'attività di rete delle applicazioni nel computer. Questo consente di proteggere la LAN aziendale dal furto di identità e da altri attacchi. Il componente garantisce la protezione del computer mediante database anti-virus, il servizio cloud Kaspersky Security Network e regole di rete predefinite. Prevenzione Attacchi BadUSB Il componente Prevenzione Attacchi BadUSB impedisce la connessione al computer di dispositivi USB infetti che emulano una tastiera. Protezione AMSI Il componente Protezione AMSI è progettato per il supporto dell'interfaccia AMSI (Antimalware Scan Interface) di Microsoft. AMSI (Antimalware Scan Interface) consente ad applicazioni di terze parti con il supporto AMSI di inviare oggetti (ad esempio script di PowerShell) a Kaspersky Endpoint Security per un'ulteriore analisi e quindi di ricevere i risultati della scansione di questi oggetti. |
Protezione minacce avanzata |
Kaspersky Security Network Kaspersky Security Network (KSN) è un'infrastruttura di servizi cloud che consente di accedere alla Knowledge Base di Kaspersky, in cui sono disponibili informazioni sulla reputazione di file, risorse Web e software. L'utilizzo dei dati provenienti da Kaspersky Security Network garantisce risposte più rapide da parte di Kaspersky Endpoint Security alle nuove minacce, migliora le prestazioni di alcuni componenti della protezione e riduce la probabilità di falsi positivi. Se l'utente sta partecipando a Kaspersky Security Network, i servizi KSN forniscono a Kaspersky Endpoint Security informazioni sulla categoria e sulla reputazione dei file esaminati, nonché informazioni sulla reputazione degli indirizzi Web esaminati. Rilevamento del Comportamento Il componente Rilevamento del Comportamento riceve dati sulle azioni delle applicazioni nel computer e fornisce tali informazioni ad altri componenti della protezione per migliorarne le prestazioni. Il componente Rilevamento del Comportamento utilizza le firme Behavior Stream Signatures (Behavior Stream Signature) per le applicazioni. Se l'attività di un'applicazione corrisponde a uno schema BSS, Kaspersky Endpoint Security esegue l'azione di risposta selezionata. La funzionalità di Kaspersky Endpoint Security basata sugli schemi Behavior Stream Signatures assicura una difesa proattiva del computer. Prevenzione Exploit Il componente Prevenzione Exploit rileva il codice del programma che sfrutta le vulnerabilità del computer per sfruttare i privilegi di amministratore o eseguire attività dannose. Gli exploit possono ad esempio utilizzare un attacco di overflow del buffer. A tale scopo, l'exploit invia una grande quantità di dati a un'applicazione vulnerabile. Durante l'elaborazione di questi dati, l'applicazione vulnerabile esegue un codice dannoso. In seguito a questo attacco, l'exploit può avviare un'installazione non autorizzata di malware. In caso di tentativo di esecuzione di un file eseguibile da un'applicazione vulnerabile non eseguito dall'utente, Kaspersky Endpoint Security blocca l'esecuzione di questo file o invia una notifica all'utente. Prevenzione Intrusioni Host Il componente Prevenzione Intrusioni Host impedisce alle applicazioni di eseguire azioni che possono essere pericolose per il sistema operativo, assicurando il controllo dell'accesso alle risorse del sistema operativo e ai dati personali. Il componente garantisce la protezione del computer mediante database anti-virus e il servizio cloud Kaspersky Security Network. Motore di Remediation Motore di Remediation consente a Kaspersky Endpoint Security di eseguire il rollback delle azioni eseguite dal malware nel sistema operativo. |
Controlli di sicurezza |
Controllo applicazioni Controllo applicazioni gestisce l'avvio delle applicazioni nei computer degli utenti. Ciò consente di implementare un criterio di sicurezza aziendale quando si utilizzano le applicazioni. Controllo applicazioni riduce anche il rischio di infezione del computer limitando l'accesso alle applicazioni. Controllo dispositivi Controllo dispositivi consente di gestire l'accesso dell'utente ai dispositivi installati nel computer o connessi al computer (ad esempio dischi rigidi, fotocamere o moduli Wi-Fi). In questo modo è possibile proteggere il computer dalle infezioni quando tali dispositivi sono connessi e prevenire perdite o fughe di dati. Controllo Web Controllo Web gestisce l'accesso degli utenti alle risorse Web. Questo consente di ridurre il traffico e l'utilizzo inappropriato dell'orario di lavoro. Quando un utente tenta di aprire un sito Web sottoposto a restrizioni da Controllo Web, Kaspersky Endpoint Security blocca l'accesso o mostra un avviso. Controllo adattivo delle anomalie Il componente Controllo adattivo delle anomalie monitora e blocca le azioni non tipiche dei computer in una rete aziendale. Controllo adattivo delle anomalie utilizza un set di regole per tenere traccia dei comportamenti inusuali (ad esempio la regola Avvio di Microsoft PowerShell dall'applicazione Office). Le regole vengono create dagli esperti di Kaspersky in base agli scenari tipici delle attività dannose. È possibile configurare la modalità di gestione di ogni regola da parte di Controllo adattivo delle anomalie e, ad esempio, consentire l'esecuzione degli script PowerShell per l'automazione di determinate attività del flusso di lavoro. Kaspersky Endpoint Security aggiorna il set di regole insieme ai database dell'applicazione. |
Criptaggio |
Criptaggio a livello di file Il componente consente di creare regole di criptaggio dei file. È possibile selezionare cartelle predefinite per il criptaggio, selezionare una cartella manualmente o selezionare singoli file in base all'estensione. Criptaggio dell'intero disco Il componente consente di criptare il disco rigido utilizzando Criptaggio disco Kaspersky o Crittografia unità BitLocker. Criptaggio unità rimovibili Il componente consente di proteggere i dati su unità rimovibili. È possibile utilizzare il Criptaggio dell'intero disco (FDE) o il Criptaggio a livello di file (FLE). |
Detection and Response |
Endpoint Detection and Response Agente integrato per la soluzione Kaspersky Endpoint Detection and Response Optimum (di seguito denominato anche "EDR Optimum"). Kaspersky Endpoint Detection and Response Optimum è una soluzione che consente di proteggere l'infrastruttura IT dell'organizzazione dalle minacce informatiche avanzate. La funzionalità della soluzione combina il rilevamento automatico delle minacce con la capacità di reagire a tali minacce per contrastare gli attacchi avanzati, inclusi nuovi exploit, ransomware, attacchi fileless, nonché metodi che utilizzano strumenti di sistemi legittimi. Per ulteriori informazioni sulla soluzione, consultare la Guida di Kaspersky Endpoint Detection and Response Optimum. Kaspersky Sandbox Il componente consente l'interoperabilità con la soluzione Kaspersky Sandbox. La soluzione Kaspersky Sandbox rileva e blocca automaticamente le minacce avanzate sui computer. Kaspersky Sandbox analizza il comportamento degli oggetti per rilevare attività dannose e le caratteristiche delle attività degli attacchi mirati sull'infrastruttura IT dell'organizzazione. Kaspersky Sandbox analizza ed esegue la scansione degli oggetti su server speciali con immagini virtuali distribuite dei sistemi operativi Microsoft Windows (server di Kaspersky Sandbox). Per ulteriori dettagli sulla soluzione, consultare la Guida di Kaspersky Sandbox. Managed Detection and Response Agente integrato per supportare il funzionamento della soluzione Kaspersky Managed Detection and Response. La soluzione Kaspersky Managed Detection and Response (MDR) rileva e analizza automaticamente gli incidenti di sicurezza nell'infrastruttura. A tale scopo, MDR utilizza i dati di telemetria ricevuti dagli endpoint e dal Machine Learning. MDR invia i dati sugli incidenti agli esperti di Kaspersky. Gli esperti possono quindi elaborare l'incidente e, ad esempio, aggiungere una nuova voce ai database anti-virus. In alternativa, gli esperti possono proporre suggerimenti sull'elaborazione dell'incidente e, ad esempio, suggerire di isolare il computer dalla rete. Per informazioni dettagliate sul funzionamento della soluzione, consultare la Guida di Kaspersky Managed Detection and Response. |
Oltre alla protezione in tempo reale garantita dai componenti dell'applicazione, è consigliabile eseguire periodicamente una scansione del computer alla ricerca di virus e altre minacce. Questo consente di eliminare la possibilità che si diffondano malware non rilevati dai componenti della protezione, ad esempio a causa di un livello di sicurezza basso.
Per mantenere aggiornata la protezione del computer, è necessario aggiornare i database e i moduli utilizzati dall'applicazione. Per impostazione predefinita, l'impostazione viene aggiornata automaticamente, ma è possibile aggiornare manualmente i database e i moduli dell'applicazione, se necessario.
Le seguenti attività sono incluse in Kaspersky Endpoint Security:
Funzioni di servizio dell'applicazione
Kaspersky Endpoint Security include numerose funzioni di servizio. Le funzioni di servizio hanno l'obiettivo di mantenere aggiornata l'applicazione, espanderne le funzionalità e fornire supporto all'utente per il relativo utilizzo.
Se l'applicazione restituisce errori o si blocca durante l'esecuzione, può essere riavviata automaticamente.
Se si verificano errori ricorrenti che causano l'arresto anomalo dell'applicazione, vengono eseguite le seguenti operazioni: